Solaris 10 11/06 安装指南:基于网络的安装

在客户机上安装密钥

对于较安全的 WAN Boot 安装或带数据完整性检查的不安全安装,您必须在客户机上安装密钥。通过使用散列密钥和加密密钥,您可以保护传输到客户机的数据。您可以通过以下方式来安装这些密钥。

您也可以在运行中的客户机的 OBP 中安装密钥。如果希望在正在运行的客户机上安装密钥,则系统必须运行 Solaris 9 12/03 OS 或兼容的版本。

在客户机上安装密钥时,请确保密钥值未通过不安全的连接进行传输。请遵循站点的安全策略以确保密钥值的保密性。

Procedure在客户机 OBP 中安装密钥

您可以在引导客户机之前为 OBP 网络引导参数变量指定密钥值。然后,客户机可在将来安装 WAN Boot 时使用这些密钥。

要在客户机 OBP 中安装密钥,请按照以下步骤进行操作。

如果要为 OBP 网络引导参数变量指定密钥值,请按照以下步骤进行操作。

  1. 采用与 WAN Boot 服务器上的 Web 服务器用户相同的用户角色。

  2. 显示所有客户机密钥的密钥值。


    # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
    
    net-ip

    客户机子网的 IP 地址。

    client-ID

    要安装的客户机的 ID。客户机 ID 可以是用户自定义的 ID,也可以是 DHCP 客户机 ID。

    key-type

    要在客户机上安装的密钥的类型。有效的密钥类型包括 3desaessha1

    将显示密钥的十六进制值。

  3. 针对要安装的每个客户机密钥类型,重复上述步骤。

  4. 使客户机系统运行 0 级。


    # init 0
    

    将显示 ok 提示符。

  5. 在客户机 ok 提示符下,设置散列密钥的值。


    ok set-security-key wanboot-hmac-sha1 key-value
    
    set-security-key

    在客户机上安装密钥

    wanboot-hmac-sha1

    指示 OBP 安装 HMAC SHA1 散列密钥

    key-value

    指定步骤 2 中显示的十六进制字符串。

    HMAC SHA1 散列密钥安装在客户机 OBP 中。

  6. 在客户机 ok 提示符下,安装加密密钥。


    ok set-security-key wanboot-3des key-value
    
    set-security-key

    在客户机上安装密钥

    wanboot-3des

    指示 OBP 安装 3DES 加密密钥。如果要使用 AES 加密密钥,请将此值设置为 wanboot-aes

    key-value

    指定代表该加密密钥的十六进制字符串。

    3DES 加密密钥安装在客户机 OBP 中。

    安装密钥后,就可以安装客户机了。有关如何安装客户机系统的说明,请参见安装客户机

  7. (可选的)检验是否已在客户机 OBP 中设置密钥。


    ok list-security-keys
    Security Keys:
             wanboot-hmac-sha1
             wanboot-3des
  8. (可选的)如果需要删除密钥,请键入以下命令。


    ok set-security-key key-type
    
    key-type

    指定需要删除的密钥的类型。使用值 wanboot-hmac-sha1wanboot-3deswanboot-aes


示例 12–2 在客户机 OBP 中安装密钥

以下示例显示了如何在客户机 OBP 中安装散列密钥和加密密钥。

显示 WAN Boot 服务器上的密钥值。


# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个示例使用以下信息。

net=192.168.198.0

指定客户机子网的 IP 地址

cid=010003BA152A42

指定客户机的 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定客户机的 HMAC SHA1 散列密钥值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定客户机的 3DES 加密密钥值

如果在安装中使用 AES 加密密钥,请将 wanboot-3des 更改为 wanboot-aes 以显示加密密钥值。

在客户机系统上安装密钥。


ok set-security-key wanboot-hmac-sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
ok set-security-key wanboot-3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个命令执行以下任务。


继续 WAN Boot 安装

在客户机上安装了密钥后,便可通过 WAN 安装客户机。有关说明,请参见安装客户机

另请参见

有关如何显示密钥值的更多信息,请参见手册页 wanbootutil(1M)

Procedure在运行中的客户机上安装散列密钥和加密密钥

您可以在正在运行的系统中的 wanboot program boot> 提示符下设置密钥值。如果使用此方法来安装密钥,则密钥只能用于当前的 WAN Boot 安装。

如果要在运行中的客户机的 OBP 中安装散列密钥和加密密钥,请按照以下步骤进行操作。

开始之前

此过程进行了以下假设。

  1. 采用与 WAN Boot 服务器上的 Web 服务器用户相同的用户角色。

  2. 显示客户机密钥的密钥值。


    # wanbootutil keygen -d -c -o net=net-ip,cid=client-ID,type=key-type
    
    net-ip

    客户机子网的 IP 地址。

    client-ID

    要安装的客户机的 ID。客户机 ID 可以是用户自定义的 ID,也可以是 DHCP 客户机 ID。

    key-type

    要在客户机上安装的密钥的类型。有效的密钥类型包括 3desaessha1

    将显示密钥的十六进制值。

  3. 针对要安装的每个客户机密钥类型,重复上述步骤。

  4. 在客户机上,成为超级用户或承担等效角色。

  5. 在运行中的客户机上安装必要的密钥。


    # /usr/lib/inet/wanboot/ickey -o type=key-type
    > key-value
    
    key-type

    指定要在客户机上安装的密钥类型。有效的密钥类型包括 3desaessha1

    key-value

    指定步骤 2 中显示的十六进制字符串。

  6. 针对要安装的每个客户机密钥类型,重复上述步骤。

    密钥安装完毕后,就可以安装客户机了。有关如何安装客户机系统的说明,请参见安装客户机


示例 12–3 在运行中的客户机系统的 OBP 中安装密钥

以下示例显示了如何在运行中的客户机的 OBP 中安装密钥。

显示 WAN Boot 服务器上的密钥值。


# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=sha1
b482aaab82cb8d5631e16d51478c90079cc1d463
# wanbootutil keygen -d -c -o net=192.168.198.0,cid=010003BA152A42,type=3des
9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个示例使用以下信息。

net=192.168.198.0

指定客户机子网的 IP 地址

cid=010003BA152A42

指定客户机的 ID

b482aaab82cb8d5631e16d51478c90079cc1d463

指定客户机的 HMAC SHA1 散列密钥值

9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

指定客户机的 3DES 加密密钥值

如果在安装过程中使用 AES 加密密钥,请将 type=3des 更改为 type=aes 以显示加密密钥值。

在运行中的客户机的 OBP 中安装密钥。


# /usr/lib/inet/wanboot/ickey -o type=sha1 b482aaab82cb8d5631e16d51478c90079cc1d463
# /usr/lib/inet/wanboot/ickey -o type=3des 9ebc7a57f240e97c9b9401e9d3ae9b292943d3c143d07f04

上一个命令执行以下任务。


继续 WAN Boot 安装

在客户机上安装了密钥后,便可通过 WAN 安装客户机。有关说明,请参见安装客户机

另请参见

有关如何显示密钥值的更多信息,请参见手册页 wanbootutil(1M)

有关如何在正在运行的系统中安装密钥的其他信息,请参见 ickey(1M)